Eine Sicherheitslücke in Microsoft Authenticator für iOS Android CVE-2026-26123) könnte dazu führen, dass Ihre einmaligen Anmeldecodes oder Authentifizierungs-Deep-Links an eine bösartige App auf demselben Gerät weitergegeben werden.
Deep Links sind vordefinierte URIs (Uniform Resource Identifiers), die beim Anklicken den direkten Zugriff auf eine Aktivität in einer Web- oder Mobilanwendung ermöglichen. Einfach ausgedrückt handelt es sich um speziell konstruierte Links, die zum Öffnen einer App und zum Ausführen von Aktionen wie der Anmeldung verwendet werden.
Microsoft Authenticator ist eine mobile App, die zeitbasierte Einmalcodes generiert und Anmeldelinks sowie QR-basierte Anmeldungen für Microsoft- und andere Konten verarbeitet. Sie wird häufig für die Multi-Faktor-Authentifizierung (MFA) auf privaten Smartphones verwendet, darunter auch BYOD-Geräte (Bring Your Own Device), die den Zugriff auf Unternehmens- und Produktionsdienste schützen.
Diese Sicherheitslücke betrifft Benutzer, die Microsoft Authenticator auf einem iOS Android installiert haben. Damit die Sicherheitslücke ausgenutzt werden kann, muss der Benutzer zunächst eine schädliche App auf seinem Gerät installieren und dann versehentlich diese App auswählen, um einen Deep Link für die Anmeldung zu verarbeiten.
In diesem Fall erhält die bösartige App den Einmalcode oder die Anmeldeinformationen und kann diese möglicherweise verwenden, um sich als Opfer zu authentifizieren.
Im Erfolgsfall könnte ein Angreifer:
- Führen Sie die Anmeldevorgänge für Dienste durch, die Ihren Microsoft Authenticator-Codes vertrauen.
- Greifen Sie auf die Informationen und Dienste zu, die für das kompromittierte Konto verfügbar sind (E-Mail, Dateien, Cloud-Anwendungen oder Produktionssysteme im BYOD-Kontext).
- Möglicherweise auf zusätzliche Konten umstellen, wenn diese ebenfalls durch Codes geschützt sind, die über Authenticator auf demselben Gerät bereitgestellt werden.
Wie man sicher bleibt
Die Korrektur für CVE-2026-26123 ist bereits in den aktuellen Versionen enthalten, daher ist die Installation von Updates die wirksamste Abhilfemaßnahme.
- Auf iOS: Öffnen Sie den App Store. Tippen Sie oben auf dem Bildschirm auf die Schaltfläche „Mein Konto“ oder auf Ihr Foto. Scrollen Sie nach unten, um ausstehende Updates und Versionshinweise anzuzeigen. Tippen Sie neben einer App auf „Aktualisieren“, um nur diese App zu aktualisieren, oder tippen Sie auf „Alle aktualisieren“.
- Auf Android: Öffnen Sie die Google Play Store-App. Tippen Sie oben rechts auf das Profilsymbol. Tippen Sie auf„Apps & Geräte verwalten“. Tippen Sie unter „Verfügbare Updates“ auf„Details anzeigen“. Tippen Sie neben der App, die Sie aktualisieren möchten, auf„Aktualisieren“. Um alle Ihre Apps gleichzeitig zu aktualisieren, tippen Sie auf„Alle aktualisieren“.
Hinweis: Wenn der Hersteller Ihres Geräts eine andere Methode zum Anwenden von App-Updates implementiert hat, können die Schritte leicht variieren.
Wenn Sie die App vorübergehend nicht aktualisieren können, vermeiden Sie die Installation neuer Apps, die die Verarbeitung von Authentifizierungslinks, QR-basierten Anmeldungen oder Web-zu-App-Anmeldeabläufen erfordern.
Wenn Sie QR-Codes scannen oder Anmeldelinks antippen, überprüfen Sie, ob der Handler Microsoft Authenticator oder eine andere vertrauenswürdige App ist und keine unbekannte, kürzlich installierte oder anderweitig verdächtige App.
Verwenden Sie nach Möglichkeit alternative MFA-Optionen, denen Sie bereits vertrauen (z. B. die integrierte Authentifizierung in Ihrem Passwort-Manager oder plattformspezifische Lösungen wie die Passwortfunktionen von Apple), bis Sie das Update installieren können.
Verwenden Sie einen Anti-Malware-Schutz für Ihre Mobilgeräte, der dabei helfen kann, bösartige Apps zu erkennen.
Wir berichten nicht nur über Telefonsicherheit - wir bieten sie auch
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Halten Sie Bedrohungen von Ihren mobilen Geräten fern, indem Sie noch heute Malwarebytes für iOS und Malwarebytes für Android herunterladen.
